Als de TUe de kwetsbaarheid had benoemd had dit incident voorkomen kunnen worden :) In het kader van natuurlijke selectie vind ik deze incidenten niet erg meer. Zo komen we wel tot veiliger systemen. Dus inderdaad verbod ook op losgeld bij ransomware aanvallen

Hoe weet je dat het om dezelfde aanval gaat dan?

Dat wist ik niet vandaar de smiley :) Tekst is vrijwel hetzelfde.

Als ik het stuk van de TU lees dan krijg ik de indruk dat het met VPN te maken heeft en als ik dan wellicht die lijn kan doorzetten naar wat ik zelf geconstateerd heb eind vorig jaar op basis van een SSL-VPN gateway dan is er momenteel een gigantische toename van hack pogingen uit allerlei verschillende landen gaande waarvan de IP-Adressen in https://www.abuseipdb.com als Confidence of Abuse is 0% worden weergegeven maar waar ik van allen in de logfile kan zien dat er inlogpogingen worden gedaan gerelateerd aan het type device en andere attacks zoals bijv. PHP Injection Attack die door de WAF threat prevention worden tegengehouden.

Deze aanvallen tussen kerst en oud en nieuw waren allen afkomstig uit Amerika en iedere poging vanuit een ander IP-Adres, en nu op dit moment uit verschillende landen waarbij allen met Confidence of Abuse is 0% worden aangegeven en dus de bekende black lists, zoals bijv. Spamhaus e.d., waarschijnlijk ook geen actuele informatie over hebben.

Zoals ik nu kan bepalen lijkt het erop dat er heel veel systemen gehackt zijn met als doel voor dit soort aanvallen.

Vooraf aan dit alles een ICMP aan de Wan kant geconstateerd van meer dan 1500 pogingen binnen een aantal seconden en allen vanaf een ander IP-Adres.

Wees gewaarschuwd en scherp je beveiligingsprocedures aan en het liefst geen SSL-VPN afhandelingen op je router/firewall maar op een achterliggend device zoals een gateway i.c.m. met een MFA applicatie waarbij de communicatie verloopt op basis van Radius, zet open voor alleen bijv. Nederland (GeoIP, country block) en zet tijdelijk een ander land of IP-Adres open indien noodzakelijk.